IT-SECURITY,
Amazon droht eine Strafe in Höhe von 888 Millionen US-Dollar aufgrund von Datenschutzvergehen und Verstöße gegen die DSGVO. Der Online-Riese wird von der luxemburgischen Datenschutzbehörde CNPD verklagt. Sollte es bei der Entscheidung der CNPD bleiben, würde es sich um das bisher höchste Bußgeld wegen Verstößen gegen die DSGVO handeln.
Bisher hält Google den Rekord für die höchste Strafsumme der DSGVO mit 57 Millionen US-Dollar. Anfang 2019 wurden Google 50 Millionen Euro Bußgeld auferlegt, wegen mangelnder Transparenz, unzureichender Information und fehlender Einwilligung in Bezug auf persönlich zugeschnittene Reklame. Die bis dato höchste europäische Datenschutzstrafe für Amazon stammt vom Dezember 2020 und aus Frankreich. Dort drohen 35 Millionen Euro Strafe wegen des Einsatzes von Tracking-Cookies zu Werbezwecken ohne Einwilligung der Betroffenen. Auch diese Entscheidung ist noch nicht rechtskräftig.
Amazon kündigte an, Widerspruch gegen die Entscheidung einzulegen.
Problematisch aus DSGVO Sicht ist für die Datenschutzbehörde CNPD vor allem die Datensammlung, welche Amazon betreibt. Sowohl auf den eigenen Seiten als auch auf Drittseiten sammelt Amazon im großen Stil Daten, um Menschen mit zugeschnittener Werbung zum Einkauf zu verleiten. Der Entscheidung liegt offenbar eine Sammelklage aus dem Jahr 2018 von mehr als 10.000 Personen zugrunde, die diese gemeinsam mit der französischen Organisation La Quadrature du Net eingereicht haben. Das Werbesystem von Amazon soll demnach gegen den Grundsatz der notwendigen Zustimmung verstoßen. Nutzer können den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen. Dabei würde die Verordnung eine freie Wahl vorsehen.
Amazon wies den Vorwurf zurück und kündigte eine Berufung an. „Es gab keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“, sagte ein Sprecher. „Im Hinblick darauf, wie wir Kunden relevante Werbung anzeigen, beruht diese Entscheidung der CNPD auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzrechts, und die beabsichtigte Geldbuße steht selbst bei dieser Auslegung in überhaupt keinem Verhältnis.“
Details zu den Verstößen sind nicht bekannt
Die CNPD verurteilte das Unternehmen bereits am 16. Juli zu einer Geldstrafe in Höhe von 746 Millionen Euro (umgerechnet 888 Millionen Dollar), weil es gegen die strengen Datenschutzgesetze der EU, verstoßen hatte. Details zu den Verstößen sind bisher nicht im Einzelnen bekannt geworden. Bei weiteren Entwicklungen halten wir Sie gerne jederzeit auf dem Laufenden.
Diese Strafe ist ein bedeutender Moment in der Geschichte der DSGVO. Oft wurde der Einfluss von Rechtsvorschriften wie der DSGVO in Frage gestellt und bezweifelt, ob diese etwas bewirken. Auch wenn dieses Urteil angefochten wird, so ist es doch eine deutliche Botschaft an alle Unternehmen, die personenbezogene Daten von EU-Bürgern speichern, verarbeiten oder aber sammeln, dass sie Compliance-Anforderungen einhalten müssen oder mit einer hohen Geldstrafe rechnen müssen.
Datenschutzverantwortliche spielen eine wichtige Rolle, um diese Vorschriften zu verstehen und an die Prozesse der Organisation anzupassen.
Datenschutz ist Chefsache
Datenschutzrechtliche Vergehen können Unternehmen teuer zu stehen kommen. Aber nicht nur dem Unternehmen, auch den Entscheidungsträgern. Im allgemeinen Verwaltungsstrafrecht werden häufig auch die Entscheidungsträger bestraft– diese müssen die Strafe bezahlen, auch wenn formal "nur" das Unternehmen das Recht gebrochen hat.
Auch die DSGVO fordert die Zurechnung von Fehlverhalten an einen oder mehrere Entscheidungsträger. Vorgeworfen werden diesen in der Regel mangelnde Sorgfalt, Kontrolle und Überwachung, welche grundlegende Tätigkeiten einer geschäftsführenden Position beschreiben. Daher ist es besonders wichtig, dass die Bedeutung einer Datenschutz Compliance von oben nach unten vorgelebt wird. Kritisch zu betrachten ist hierbei, dass viele Unternehmen nach den ersten Anstrengungen im Mai 2018 Datenschutz an das Ende der Agenda geschoben haben und das Thema als „erledigt“ angesehen haben.
Durch regelmäßige Workshops und kontinuierlicher Bearbeitung von technischen und organisatorischen Maßnahmen kann die Mündung in einen Prozess vermeiden und somit Aufmerksamkeit und Ressourcen schonen. Es liegt auf der Hand, dass in allen diesen Fällen die Investition eines Bruchteils dieser Beträge ausreichend gewesen wäre, um Datenschutz-Compliance herzustellen.
Neben Strafen der Behörden sind auch Schadenersatzklagen von Betroffenen möglich. Das bekannteste Beispiel ist Schrems und Facebook. Wenn Unternehmen beispielsweise über 100.000 Privatkunden verfügt, welche alle einen Schadenersatz von 5.000 Euro fordern, kann dies schnell in in existenzbedrohende Summen kumulieren, welche die von der Datenschutzbehörde verhängte Strafen noch übersteigen.
Ein Risiko zur Haftung besteht bereits dann, wenn ein Entscheidungsträger sich keine Datenschutzkenntnisse aneignet und beispielsweise uninformierte Prozesse genehmigt, welche nicht datenschutzkonform sind (wie etwa der Anmeldung zu einem Kundenbindungsprogramm mit Profiling ohne Einwilligung). Befasst sich ein Entscheidungsträger nicht mit der betrieblichen Datenschutzpraxis oder unterschätzt er die Risiken und boxt etwa Digitalisierungsprojekte ohne Begleitung kompetenter Datenschutzexperten durch, müssen sich Entscheidungsträger den Vorwurf gefallen lassen, sich nicht ordnungsgemäß mit den geltenden rechtlichen Anforderungen auseinandergesetzt zu haben. Somit werden Strafen und Schadenersatz riskiert.
Daher unser Apell an Unternehmen: NEHMEN SIE DATENSCHUTZ ERNST! Erstellen Sie die geforderten Prozesse, verfolgen Sie technische und organisatorische Maßnahmen, um ein angemessenes Compliance Niveau zu erreichen.
Wenn Sie dazu Hilfe benötigen, kontaktieren Sie uns gerne jederzeit.